Cetus Protocol 黑客攻击与 Sui 漏洞事件：2.6亿美元失窃案全记录

是什么引发了2.6亿美元的Cetus Protocol黑客攻击？Sui漏洞如何演变成全链危机？

目录

• Cetus Protocol遭黑客攻击，2.6亿美元资产在最新Sui漏洞中蒸发
• Sui黑客引发Cetus Protocol流动性枯竭
• Cetus代币在Sui漏洞中暴露风险
• Sui黑客冻结事件引发去中心化质疑

Cetus Protocol遭黑客攻击，2.6亿美元资产在最新Sui漏洞中蒸发

5月22日，Sui区块链（SUI）上主要的去中心化交易所和流动性提供商Cetus Protocol（CETUS）遭遇重大安全漏洞。该漏洞导致约2.23亿美元资产被盗，立即引发Sui生态系统内DeFi活动的中断。

自2023年推出以来，Cetus已成为Sui基础设施的核心部分，为超过62,000名活跃用户提供代币兑换和收益耕作服务，每日产生超过715万美元的交易费用。

截至5月23日撰稿时，Sui区块链原生代币SUI价格从4.19美元急剧下跌至3.62美元，单日内跌幅近14%。

受攻击协议的原生代币CETUS在漏洞发生后立即从0.26美元跌至0.15美元。当前0.17美元的价格仅实现部分回升。

更广泛生态系统中的代币也出现类似波动。Sui原生迷因币包括LOFI、HIPPO、SQUIRT、SLOVE和MEMEFI等，跌幅介于51%至97%之间。虽然价格已趋稳定，但投资者信心仍然脆弱。

在Cetus列出的前15大资产中，超过75%的总价值被抹去。LBTC和AXOLcoin等部分代币价格暴跌至接近零。

影响远超代币价格。撰稿时，Sui的总锁仓价值从21.3亿美元降至19.2亿美元，反映出数小时内的急剧收缩。

让我们了解漏洞如何实施，暴露了哪些结构性缺陷，以及社区如何准备应对。

Sui黑客引发Cetus Protocol流动性枯竭

针对Cetus Protocol的漏洞始于5月22日凌晨。太平洋时间3:52（UTC 11:52），区块链监控系统检测到SUI/USDC流动性池的异常流动，最初标记为可能的1100万美元资金外流。

持续调查迅速扩大范围，揭示多个池中的总损失可能达到约2.6亿美元。

攻击集中于Cetus定价机制背后的智能合约系统中的漏洞。

核心是该协议的预言机设计，负责向平台提供实时价格数据以实现代币对的公平交易。此案例中，预言机成为漏洞的入口点。

涉事钱包地址"0xe28b50"部署了BULLA等伪造代币，操纵价格曲线并扭曲储备余额。

尽管这些代币实际流动性极低，但被用来扭曲内部池指标，使SUI和USDC等有价值资产看似抵押不足。在破坏定价逻辑后，攻击者从池中提取真实代币而未贡献相应价值。

链上分析师追踪到攻击者在漏洞发生后数小时内将约6300万美元USDC从Sui转移至以太坊（ETH）。

兑换数据显示，5830万美元以平均每枚2658美元的价格兑换为21,938 ETH。执行速度约为每分钟100万美元，表明这是有协调且预谋的行动。

Cetus最初将问题称为"预言机错误"，这一表述立即引发开发者和安全专家的审视。漏洞的规模和精确性使这一说法受到质疑。

Cetus代币在Sui漏洞中暴露风险

Cetus漏洞的根源并非单行恶意代码，而是协议管理定价和池逻辑的结构性缺陷。

Cetus使用依赖集中流动性池数据的内部预言机系统生成实时价格馈送。目的是减少对外部预言机的依赖并限制外部操纵的脆弱性。然而，该机制引入了新风险。

漏洞集中于智能合约中的"addLiquidity"、"removeLiquidity"和"swap"功能。这些功能用于计算代币比率和池价值，但未能适当验证与几乎没有经济价值的资产交互时的输入。

攻击者通过引入BULLA等伪造代币利用这一漏洞，这些代币模仿合法资产结构但没有实际流动性或价格历史。

将这些代币引入池中扭曲了控制可添加或移除价值的自动计算，实质上允许操纵协议内部会计。

使用这些伪造资产，攻击者几乎未提供实际流动性，却以人为有利的比率提取大量SUI和USDC。

网络安全公司将此事件归类为预言机操纵的典型案例，协议内部设计成为自身漏洞。

损害规模反映在交易量上。Cetus链上活动从5月21日的3.2亿美元激增至5月22日的29亿美元，显示漏洞开始后资金移动和兑换的速度。

Sui开发使用的编程语言Move包含防止重入等低级威胁的安全保护。此案例中，故障发生在语言层之上。

智能合约执行并非问题。合约完全按指令执行——真正问题是这些指令被允许存在。

Cetus没有过滤器或验证步骤确保只有具有实际流动性的代币可影响定价。缺乏拒绝无市场验证资产的保障措施。

短期内未对价格偏差实施上限，且交易量激增时没有断路器暂停异常活动。

一旦伪造代币进入并扭曲定价引擎，系统其余部分完全按设计执行——最终使漏洞毫无阻力地展开。

Sui黑客冻结事件引发去中心化质疑

漏洞确认后，Cetus迅速采取行动控制损害。太平洋时间5月22日约4:00暂停智能合约操作以防止协议进一步资金外流。

项目官方X账户随后发布公开声明，承认事件并承诺全面调查。截至5月23日，尚未发布详细的事后分析。

Sui生态系统内展开更广泛响应。Sui基金会与验证者和关键合作伙伴协调，将攻击者地址列入黑名单并在Sui网络上冻结约1.62亿美元的被盗资产。

追回剩余约6000万至9800万美元资金的努力面临挑战。漏洞发生后不久，约6000万至6300万美元USDC从Sui桥接并兑换为21,938 ETH。

为鼓励资金归还，Cetus已提供600万美元的白帽赏金。提案针对已兑换的ETH并包含严格条件：任何洗钱或变现资产的尝试将使提议无效。截至目前，攻击者尚未公开回应。

追踪工作涉及多家网络安全公司和监管机构。Inca Digital主导谈判过程，Hacken和PeckShield提供取证支持。

Sui基金会还与FinCEN和美国国防部等机构协调，探索更多追回和法律选项。

交易所支持参差不齐。币安创始人赵长鹏在X上表示声援，确认币安协助恢复协调，但尚未公开确认任何技术干预或账户冻结。

钱包冻结引发关于去中心化的广泛讨论。X上多位用户强调，Sui验证者协调阻止攻击者地址的交易，冻结超过1.6亿美元资产。

虽然此案例中有效，此举引发对验证者能对网络行为行使多少控制的担忧。

批评者认为此类协调挑战去中心化原则，表明验证者驱动的审查可能，引发对Sui等网络是否真正去中心化或仅声称如此的质疑。

免责声明：本文不构成投资建议。本页所载内容和材料仅供教育用途。